FR EN

Toute l'actualité sur les recours collectifs

12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
10.07.2024 13:27

De l’instabilité politique à l’instabilité fiscale

Le résultat des dernières élections législatives a entraîné de nombreux questionnements sur...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Droit fiscal, Les essentiels, Veille Juridique
27.06.2024 10:45

Actualité PI - Autorisation d'usage de son image

Un employeur condamné à retirer les photographies d’un ancien salarié


Cat: Droit de la Propriété Intellectuelle, Les actualités d'ALTIJ, Les essentiels, Veille Juridique
31.05.2024 14:29

Faux sites et arnaques en ligne

Protéger votre e-réputation et votre clientèle : réagissez !


Cat: Droit de la Propriété Intellectuelle, Propriété industrielle (Marques, Dessins et modèles), Les actualités d'ALTIJ, Les essentiels, Veille Juridique
23.04.2024 14:16

Cybersécurité: Un partenariat Franco-Britannique stratégique.

Présentation de l'étude coordonnée par Altij : "Cybersécurité : Alliance franco-britannique, les...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Droit des Technologies Avancées, Les essentiels, Veille Juridique
voir les archives ->
< Les aides financières de l’INPI : préfinancement des prestations PI
02.08.2023 14:22 Il y a: 1 year
Categorie: Les actualités d'ALTIJ, Droit des Technologies Avancées, Veille Juridique
Auteur : Pôle IP/IT-Data

LPM 2023 : obligations en matière de défense cyber pour les éditeurs de logiciel

Loi de programmation militaire : diverses dispositions intéressant la défense visent à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces ».


LPM Cyber Défense

La loi du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense vise à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces »[1]. Cette loi renforce également les dispositions en matière de défense cyber et crée de nouvelles obligations à la charge des éditeurs de logiciel.

Notamment, l’article 66 de la loi précitée crée un article L.2321-4 du code de la défense prévoyant une double obligation à la charge des éditeurs en cas d’incident :

  • Une obligation de déclaration auprès de l’ANSSI : Les éditeurs de logiciels doivent, en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, notifier à l’ANSSI cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences.

L’article précité indique le champ d’application de cette obligation, laquelle s’applique donc aux éditeurs qui fournissent ce produit sur le territoire français, à des sociétés ayant leur siège social sur le territoire français, ou encore à des entités contrôlées[2] par des sociétés ayant leur siège social sur le territoire français.

  • Une obligation d’information des utilisateurs du produit, dans un délai fixé par l’ANSSI et déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre des mesures correctives.

SI l’éditeur ne procède pas lui-même à l’information des utilisateurs, l’ANSSI peut l’y contraindre. Si cette injonction n’a pas été mise en œuvre, l’ANSSI peut alors informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que l’injonction non suivie d’effet.

L’article propose également deux définitions :

  • L’éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit » ;
  • L’incident informatique est relatif à « tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles. »

Toutefois, il conviendra d’attendre le décret en Conseil d’État, pris après l’avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) pour que soient définies les modalités d’application du nouvel article L.2321-4 du code de la défense. Ce décret aura vocation à préciser notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionné ci-dessus.

D’ores et déjà, l’article précise toutefois que le caractère significatif de la vulnérabilité sera défini en fonction des pratiques et des standards internationaux communément admis.

Nos avocats du pôle Data vous accompagnent afin de mener, avec notre partenaire QUID IA, des tech due diligences sur vos logiciels et, en toute hypothèse, pour élaborer avec vous la documentation nécessaire vous permettant de gérer techniquement, juridiquement et opérationnellement les situations de crise.

 


[1] Voir le site du Gouvernement : https://www.gouvernement.fr/actualite/la-loi-de-programmation-militaire-quest-ce-que-cest.

[2] Conformément à la définition de contrôle telle que prévue par l’article L. 233-3 du code de commerce.